2010年7月部门培训资料_斐讯WLAN产品售前培训.ppt

斐讯通信wlan产品介绍,上海斐讯数据通信技术有限公司,目录,wlan产品概述,产品外观及功能,fac-256,fac-256 高性能、多功能的无线局域网控制器 集中管理所有的瘦ap和无线用户 为企业、校园、行业无线宽带无线接入应用提供全套解决方案,产品外观及功能,fap-3000-i 运营级室内fat/fit一体型无线ap 支持802.11b/g，支持poe，两个天线接口，标配一根sma天线,fap-3000-o(h) 大功率室外fat/fit一体型无线ap 支持802.11b/g，支持poe（pte模式），1个n 型(female)天线接口,产品规格,产品规格,产品规格,产品功能概述,fac-256 ap零配置、集中式管理 全网无缝漫游 虚拟无线分组vlan、多ssid 用户认证接入web认证、pppoe认证、radius,产品功能概述,fap-3000-i/o(h) fat/fit胖瘦ap一体化 支持super g超级11g模式，速率可达108mbps 支持bridge桥模式下的802.1q vlan，并且可在pppoe包头添加vlan标签。 支持stp，防止信息重传和环路 支持部署大范围覆盖的无线分布式系统（wds），拥有smart wds功能可通过id号及私有加密方式自动建立wds连接，无须手动设定远端mac地址。 全面的安全特性，包括wpa2，多ssid，欺诈ap检测，mac地址过滤以及radius、802.1x支持。 丰富的snmp功能用于高级网络管理，支持ssh、pptp和自动配置。,无线传输技术,什么是无线局域网（wlan）技术？,无线局域网 (wireless local area network，wlan)是以射频无线电波通信技术构建的局域网，利用无线电波作为传输媒介，取代旧式碍手碍脚的双绞铜线(coaxial)所构成的局域网络,能提供传统有线局域网的所有功能。无线数据通信不仅可以作为有线数据通信的补充及延伸，而且还可以与有线网络环境互为备份。,无线通讯技术的起源,明史，可知兴衰。也许，从它的历史中，我们可以看到它的明天。,最早的无线网络alohnet,1971年，夏威夷大学（university of hawaii）的研究小组创造了第一个基于封包式技术的无线电通讯网络，这被称作alohnet的网络，可以算是相当早期的无线局域网络（wlan）。这最早的wlan包括了7台计算机，它们采用双向星型拓扑（bi-directional star topology）,横跨四座夏威夷的岛屿，中心计算机放置在瓦胡岛（oahu island）上,无线标准的发展,80年代，美国政府决定开放一些无线频段，让人免费使用。,一项新技术从最初开发到市场化有三条路可走： 标准化同业公司进一步开发共同完成标准化进程 独自开发技术做成熟后自己做产品卖 独自开发到成熟，再把它变成行业标准,一些有前瞻意识的公司立刻认识到这里很可能会产生一个巨大的市场，决定花力气开发新技术,契机,1990年，ieee802.11工作组，研究制定无线局域网标准,ieee标准大家族,ieee 802.1：高层局域网协议（bridging (networking) and network management） ieee 802.2：逻辑链路控制（logical link control） ieee 802.3：以太网路（ethernet） ieee 802.4：令牌总线（token bus） ieee 802.5：令牌环（token-ring） ieee 802.6：城域网（man, metropolitan area network） ieee 802.7：宽带tag（broadband lan using coaxial cable） ieee 802.8：光纤分布数据接口（fddi） ieee 802.9：同步局域网（integrated services lan） ieee 802.10：局域网网络安全（interoperable lan security） ieee 802.11a/b/g/n：无线局域网（wireless lan & mesh） ieee 802.12：需求优先级（demand priority） ieee 802.13：（未使用） ieee 802.14：电缆调制解调器（cable modems） ieee 802.15：无线个人网（wireless pan） ieee 802.15.1：无线个人网络（wpan, wireless personal area network） ieee 802.15.4：低速无线个人网络（lr-wpan, low rate wireless personal area network） ieee 802.16：宽带无线接入（broadband wireless access） ieee 802.17：弹性封包环传输技术（resilient packet ring） ieee 802.18：无线电管制技术（radio regulatory tag） ieee 802.19：共存标签（coexistence tag） ieee 802.20：移动宽带无线接入（mobile broadband wireless access） ieee 802.21：媒介独立换手（media independent handover） ieee 802.22：无线区域网络（wireless regional area network） ieee 802.23：紧急服务工作组（emergency services working group），2010年3月新发布,802.11系列标准,ieee 802.11，1997年，原始标准（2mbit/s，工作在2.4ghz）。 ieee 802.11b，1999年，物理层补充（11mbit/s工作在2.4ghz）。 ieee 802.11a，1999年，物理层补充（54mbit/s，工作在5ghz）。 ieee 802.11c，符合802.1d的媒体接入控制层桥接（mac layer bridging）。 ieee 802.11d，根据各国无线电规定做的调整。 ieee 802.11e，对服务等级（quality of service, qos）的支持。 ieee 802.11f，基站的互连性（iapp，inter-access point protocol），2006年2月被ieee批准撤销。 ieee 802.11g，2003年，物理层补充（54mbit/s，工作在2.4ghz）。 ieee 802.11h，2004年，无线覆盖半径的调整，室内（indoor）和室外（outdoor）信道（5ghz频段）。 ieee 802.11i，2004年，无线网络的安全方面的补充。 ieee 802.11j，2004年，根据日本规定做的升级。 ieee 802.11l，预留及准备不使用。 ieee 802.11m，维护标准；互斥及极限。 ieee 802.11n，更高传输速率的改善，支持多输入多输出技术（multi-input multi-output，mimo）。 ieee 802.11k，该协议规范规定了无线局域网络频谱测量规范。该规范的制订体现了无线局域网络对频谱资源智能化使用的需求。 ieee 802.11p，这个通讯协议主要用在车用电子的无线通信上。它设定上是从ieee 802.11来扩充延伸，来符合智能型运输系统（intelligent transportation systems，its）的相关应用。,使用2.42.4835ghz频段 理论传输速率分为1mbps和2mbps 定义了fhss和dsss两种展频传输方式 定义了wep安全机制,802.11系列标准802.11,802.11系列标准802.11a,采用5ghz频段 采用ofdm（正交频分复用）调制 传输速率范围为6mbps54mbps，实际速率2226mbps,802.11系列标准802.11b,采用2.4ghz频带 采用dsss调制方式 传输速率可在11mbps、5.5mbps、2mbps、1mbps之间自动切换,802.11系列标准802.11g,2003年7月被通过，采用2.4ghz2.4835ghz频段 使用ofdm调制技术 与802.11、802.11b兼容 在2.4ghz下提供11mbps传输速率 在2.4ghz下提供54mbps传输速率,802.11系列标准802.11n,2009年9月正式批准，传输速度理论值为300mbit/s 双频工作模式(包含2.4ghz和5ghz两个工作频段) mimo（multiple input multiple output，多入多出）与ofdm（orthogonal frequency division multiplexing，正交频分复用）技术相结合而应用的mimo ofdm技术，使传输速率得到极大提升。 兼容802.11b/g,802.11n,2009年9月，802.11n技术正式推出，第一次把wlan的速度提升到百兆以上，首个超越了有线网络性能的无线网络技术，无线带宽不再是装饺子的茶壶嘴。而mimo技术的使用，极大提升了wlan的抗干扰性、穿透力和覆盖范围。因此一经推出就快速普及。,802.11n,无线技术热点词汇wifi,wifiwireless fidelity，无线保真 wecathe wireless ethernet compatibility alliance，无线局域网标准化组织，也称作“wi-fi联盟” 实际上wi-fi是weca的一个商标，最初针对的是ieee 802.11b标准，如今已经延伸至ieee 802.11系列标准。,无线技术热点词汇capwap,capwap（controlling and provisioning of wireless access point，无线接入点控制与供应）协议定义了ap与ac之间如何通信，为实现ap和ac之间的互通性提供一个通用封装和传输机制,无线技术热点词汇super g,super g是atheros公司的专利帧突发、帧压缩与信道捆绑技术，用以加强ieee 802.11g无线区域网的效能。使用super g时，通过捆绑两条54mbit/s的802.11g频道，扩大了信号覆盖范围，实现标称108mbit/s的传输速率，实际测试也可达到40mbit/s60mbit/s。,afterburner技术 125mbps,无线技术热点词汇其他百兆无线技术,nitro xm技术 140mbps,无线技术热点词汇wimax,wimaxworldwide interoperability for microwave access，全球互通微波存取，是一项高速无线数据网络标准，主要用在城域网络（man）。,3g/4g移动网络宽带化 wimax宽带网络移动化,无线传输原理,ieee802.11和osi模型,无线网络,wireless wan,wireless lan,终端用户a,终端用户b,ieee802.11逻辑结构,数据链路层,物理层,802.2,802.11,扩频技术,csma/ca、wep,无线局域网传输技术分类,在mac层以下，802.11规定了三种发送及接收技术 spread spectrum，扩频技术； direct sequence spread spectrum，dsss，直接序列扩频 frequency-hopping spread spectrum，fhss，跳频扩频技术 infared，红外技术； diffused，非直线式传输在一定的区域内，可借助物体表面反射方式传输信号 directed直线式传输，网络环境必须是line of sight narrow band microwave，窄带技术 传输半径限制在27.5km之内，微波的频率需要特殊的授权 需要有disk，碟形天线,物理层rf射频,类似于有线局域网使用铜质双绞线、光缆等传输信号，无线通信系统使用rf（radio frequency，无线电射频，频率范围从300khz30ghz之间）能量来传输。,2.4g各种无线网络技术的比较,除了无线以太网技术外,目前已产品化的其它一些无线连接技术还有bluetooth（蓝牙）和homerf，蓝牙的相关标准是ieee802.15，主要用于点对点的短距离无线连接，由于蓝牙产品的体积和功耗较小，被较普遍的应用在一些移动和手持设备上，一般认为它和无线局域网是相互补充的关系，各用于不同的领域。而homerf主要为家庭网络设计，在抗干扰等方面相对应其他技术而言尚有欠缺，因此注定它没有广泛的应用前景。下面是几种技术的主要传输指标对比。,无线网络分类,按无线网络的覆盖范围： wan无线广域网 man无线城域网 lan无线局域网 pan无线个人网,各种无线网络技术的市场定位,bluetooth,802.11b 802.11a 802.11g hiperlan2,802.11 mmds lmds,gsm gprs cdma 2.5g-3g,物理层无线扩频技术,无线局域网的通讯方式采用的是扩频通信技术。扩频通信是一种信息传输方式，其信号所占有的频带宽度远大于所传信息必需的最小带宽。扩频技术包括以下几种方式：直接序列扩展频谱，简称直扩（ds），跳频（fh），跳时（th），线性调频（chirp）以及现在流行的正交频分复用（ofdm）。此外，还有这些扩频方式的组合方式，如fh/ds、th/ds、fh/th等。目前在wlan通信中应用较多的主要是dsss（直接序列扩频）和ofdm（正交频分复用）。 扩频通信技术具有以下特点： 很强的抗干扰能力 可进行多址通信 安全保密 抗多径干扰,物理层无线扩频技术,两种扩频技术 dsss (direct sequence spread spectrum)直接序列扩频技术 fhss (frequency hopping spread spectrum)跳频扩频技术,fhss,跳频扩频 (frequency hopping spread spectrum，简称fhss) 就是载波可以在一个很宽的频带上按照伪随机码的定义从一个频率跳变到另一个频率。 使用fhss技术，2.4g频道被划分成75个1mhz的子频道，接受方和发送方协商一个调频的模式，数据则按照这个序列在各个子频道上进行传送，每次在802.11网络上进行的会话都可能采用了一种不同的跳频模式，采用这种跳频方式主要是为了避免两个发送端同时采用同一个子频段。,dsss,直接序列扩频 (direct sequence spread spectrum，简称dsss)就是使用具有高码率的扩频序列，在发射端扩展信号的频谱，而在接收端用相同的扩频码序列进行解扩，把展开的扩频信号还原成原来的信号。 直接序列扩频技术将2.4ghz的频宽划分成14个22mhz的通道(channel)，临近的通道互相重叠，在14个频段内，只有3个频段是互相不覆盖的，数据就是从这14个频段中的一个进行传送而不需要进行频道之间的跳跃。,dsss频段,non-overlap,2.4000ghz,2.4835ghz,ch 1,ch 7,ch 13,22mhz,22mhz,22mhz,ch 1,ch 7,ch 13,dsss调制,dsss发送与接收,dsss抗干扰性,fhss vs. dsss,ofdm,orthogonal frequency division multiplexing 正交频分复用 ofdm是一种多载波发射技术，它将可用频谱划分为许多载波，每一个载波都用低速率数据流进行调制。它获取高数据传输率的诀窍就是，把高速数据信息分开为几个交替的、并行的bit流，分别调制到多个分离的子载频上，从而使信道频谱被分到几个独立的、非选择的频率子信道上，在ap与无线网卡之间进行传送，实现高频谱利用率。,ofdm,52 副载波(48个用于数据 , 4个用于导频信号 ) 多种传送速度: 6, 9, 12, 24, 36, 48, 54 mbps,主要应用：非对称的数字用户环线（adsl）、数字视频广播（dvb）、高清晰度电视（hdtv）、无线局域网（wlan）和第4代（4g）移动通信系统等。,数据链路层,数据链路层的功能就是利用物理层提供的比特流传输功能，实现在相邻节点(node)间的透明、可靠的数据传输，具体要实现下列功能：链路管理、帧同步、差错控制、流量控制。,数据链路层802.11mac,802.11mac层负责客户端与ap之间的通讯 主要功能包括：扫描、接入、认证、加密、漫游和同步 三种类型的mac帧 管理帧 控制帧 数据帧,802.11mac管理帧,管理帧负责在工作站和ap间建立初始的通信，提供连接和认证等服务,802.11mac控制帧,协助发送数据帧的控制报文,802.11mac数据帧,数据帧的主要功能是传送信息,dcf（分布式访问控制方式） csma/ca（载波监听多路访问/冲突避免）机制 差错恢复机制 访问间隔 pcf（中心网络控制方式）,无线介质访问控制,载波监听机制,开始,nav=0？,检测介质 （物理信道评价）,介质忙？,发送帧,碰撞？,随机退 避时间,yes,no,yes,no,no,yes,csma/ca 协议,csma/ca协议的工作流程是：一个工作站希望在无线网络中传送数据，如果没有探测到网络中正在传送数据，则附加等待一段时间，再随机选择一个时间片继续探测，如果无线网路中仍旧没有活动的话，就将数据发送出去。接受端的工作站如果受到发送端送出的完整的数据则回发一个ack数据报，如果这个ack数据报被接收端收到，则这个数据发送过程完成，如果发送端没有收到ack数据报，则或者发送的数据没有被完整地收到，或者ack信号的发送失败，不管是那种现象发生，数据报都在发送端等待一段时间后被重传 ， csma/ca通过这种方式来提供无线的共享访问，这种显式的ack机制在处理无线问题时非常有效。然而不管是对于802.11还是802.3来说，这种方式都增加了额外的负担，所以802.11网络和类似的ethernet网比较总是在性能上稍逊一筹。,csma/ca 协议,克服冲突,802.11的mac和802.3协议的mac非常相似，都是在一个共享媒体之上支持多个用户共享资源，由发送者在发送数据前先进行网络的可用性。在802.3协议中，是由一种称为csma/cd(carrier sense multiple access with collision detection)的协议来完成调节，这个协议解决了在ethernet上的各个工作站如何在线缆上进行传输的问题，利用它检测和避免当两个或两个以上的网络设备需要进行数据传送时网络上的冲突。在802.11无线局域网协议中，冲突的检测存在一定的问题，这个问题称为“near/far”现象，这是由于要检测冲突，设备必须能够一边接受数据信号一边传送数据信号，而这在无线系统中是无法办到的。 鉴于这个差异，在802.11中对csma/cd进行了一些调整，采用了新的协csma/ca(carrier sense multiple access witcollision avoidance)。 csma/ca利用ack信号来避免冲突的发生，也就是说，只有当客户端收到网络上返回的ack信号后才确认送出的数据已经正确到达目的。,差错恢复机制,发送方,接受方,rts,cts,data,ack,“隐藏终端”问题,被动扫描方式 监听 搜索信标帧 验证和连接 主动扫描方式 发送探询帧 等待探询响应帧 建立连接,网络连接,无线频段的划分,802.11b和802.11g的工作频段在2.4ghz（2.410ghz-2.483ghz），其可用带宽为83.5mhz，划分为13个信道，每个信道带宽为22mhz 北美/fcc 2.412-2.461ghz(11信道) 欧洲/etsi 2.412-2.472ghz(13信道) 日本/arib 2.412-2.484ghz(14信道）,2.4ghz频段划分图,2.4ghz频段中，同一个信号覆盖范围内最多容纳3个互不重叠的信道（1、6、11），以此类推！ 每信道占用22 mhz的频带； 11b采用dsss扩频和cck的调制方式最高提供11mbps的速率，11g采用ofdm的扩频方式，可提供54mbps的速率,802.11b/g蜂窝覆盖,使用1、6、11三个互不干扰的信道进行蜂窝覆盖,回顾国际标准化组织,iso 国际标准化组织 fcc 美国联邦通信委员会 ieee 电器和电子工程师协会 weca 无线以太网兼容联盟 etsi 欧洲通信标准协会,无线安全原理,无线网络安全,针对当今无线网络安全采取的一些手段： wep加密，支持64位和128位 ieee 802.11i，ieee推出的wlan最新安全标准 多ssid，通过ssid来限制用户的访问权限 mac过滤、端口过滤 同时支持多种认证方式来检测用户身份 wapi，我国推出的wlan安全国家标准,无线网络安全,这样，在wlan安全项目中的ap就可以支持以下六种安全模式： 1. 不加密 2. wep(802.11中定义的安全方案) 3. 802.1x+动态wep密钥 4. 802.11i(wpa) 5. 802.11i(wpa)+psl(与共享密钥) 6. wapi,wep开放式认证,所谓开放式认证其实就是不认证，只要sta发送一个消息请求认证，通过后ap就回应一个成功消息。,wep共享密匙式认证,共享密钥认证需要ap和sta事先共享一个认证密钥，这时需要交互4个链路验证消息：首先sta向ap发出认证请求，然后ap发出一个128bits的随机数(challange)质询文本，sta收到质询文本后，用wep的加密算法和预先设置的密钥把该数字加密，将密文回复给ap。因为ap存储了先前发出的随机数，它可以检查发回的结果是不是用正确的密钥加密的，如果是就发送认证成功的消息。,wep共享密匙式认证,共享密钥认证过程中有两个漏洞： 1. ap没有向sta证明它知道密钥，即认证只是单向的。 2. 认证质询和认证回复消息正好是一对匹配样本，质询中是明文，回复中是密文，如果有攻击者在监听，完全可以利用这对样本来计算出密钥。所以这种方法不但不能进行认证，实际上反而帮助敌人攻击了加密密钥。所以在目前的绝大多数系统中已不再使用这种wep认证方法，链路验证都采用开放式,wep的加密机制,wep, wired equivalent privacy ,有线等效加密,wep的加密机制,iv初始化向量，通过改变，来使实际加密每个数据包的密钥都不同。,利用wep加密后的数据帧格式:,wep加密机制漏洞,对于消息篡改检测，wep试图利用icv值来进行保护。但是用于计算icv的方法被称为一种线形性方法。这会导致，如果你只改变了消息中的一位，你就可以预测到icv中哪些位将被改变。更主要的是，由于rc4通过异或数据得到密文，位反转在加密过程会被保留下来，使得攻击者可以同时篡改加密后的数据和icv中的对应位，而使篡改不被发现。这样我们看到利用icv来实现对消息篡改的检测不能实现它的目标。 在消息加密方面，利用了rc4算法，但是通过研究我们发现，实际上很难起到设想的作用，因为24bit的iv传输了约1700万帧后就会产生冲突，而802.11b每秒就能够传输500个全长帧，而在这样的速率下，的容量7个小时内就会用光。实际上也许会有许多个设备在传输，冲突可能出现的更加频繁。这样经过一段时间，如果收集到同一足够多的样本，很可能就能够猜出密钥流的重要部分，此后就会解密的越来越多。可见并没有很好的解决密钥冲突的问题。 在密钥保护方面，wep也没有对ap和sta上的预设密钥进行任何的保护措施。,802.11i,为了弥补wep的种种安全漏洞，ieee 802.11的i工作组致力于制订被称为ieee 802.11i的新一代安全标准。,ieee 802.11i规定使用802.1x认证和密钥管理方式，在数据加密方面，定义了tkip（temporal key integrity protocol）、ccmp（counter-mode/cbc-mac protocol）和wrap（wireless robust authenticated protocol）三种加密机制。,tkip/ccmp/wrap,tkip: temporal key integrity protocol（暂时密钥集成协议），负责处理无线安全问题的加密部分，采用wep机制里的rc4作为核心加密算法，可以通过在现有的设备上升级固件和驱动程序的方法实现 ccmp：counter-mode/cbc-mac protocol（计数器模式密码块链消息完整码协议），ccmp机制基于aes（advanced encryption standard）加密算法和ccm（counter-mode/cbc-mac）认证方式 wrap机制基于aes加密算法和ocb（offset codebook）认证，是一种可选的加密机制。,wpawi-fi protected access,市场对于提高wlan安全的需求是十分紧迫的，ieee 802.11i的进展并不能满足这一需要。在这种情况下，wi-fi联盟制定了wpa（wi-fi protected access）标准。这一标准采用了ieee802.11i的草案，保证了前向兼容。wpa与ieee 802.11i的关系如下图所示：,wpa认证过程,step 1. sta以wpa模式与ap建立关联之后，如果网络中有radius服务器作为认证服务器，那么sta就使用802.1x方式进行认证；如果网络中没有radius，sta与ap就会采用预共享密钥（psk，pre-shared key）的方式。 step 2. sta通过了802.1x身份验证之后，ap会得到一个与sta相同的session key， ap与sta将该session key作为pmk（pairwise master key，对于使用预共享密钥的方式来说，psk就是pmk）。随后ap与sta通过eapol-key进行wpa的四次握手，如图：,wpa认证ptk密钥的产生,在四次握手的过程中，ap与sta经过协商计算出一个512位的ptk（pairwise transient key），并将该ptk分解成为五种不同用途的密钥，如图：,认证方式和数据加密,1、open system+wep：空认证和wep数据加密。 ps:如果ap对mac地址设了过滤，要核实后就能通过认证；否则直接通过认证,认证方式和数据加密,2、share key+wep:共享密钥认证和wep数据加密，需要在ap和无线终端提前预置一个相同的wep密钥,3、802.1x+wep 802.1x身份认证+wep数据加密,认证方式和数据加密,4. wpa-psk/wpa2-psk(tkip or ccmp) wpa的预置共享模式（pre-shared key，psk， 又称为个人模式）,ap和无线终端用tkip/ccmp设置同一个密码 wpa是基于802.11i